袁鎧鋒

摘 要 隨著計(jì)算機(jī)信息技術(shù)的不斷發(fā)展與成熟，計(jì)算機(jī)網(wǎng)絡(luò)逐漸成為了各行各業(yè)在開(kāi)展工作時(shí)不可缺少的重要工具，各種依托計(jì)算機(jī)信息而實(shí)施的計(jì)算機(jī)網(wǎng)絡(luò)犯罪現(xiàn)象也日益猖狂起來(lái)。本文圍繞幾種常見(jiàn)的計(jì)算機(jī)取證技術(shù)介紹、計(jì)算機(jī)取兩個(gè)證技術(shù)的發(fā)展方向以及未來(lái)展望兩個(gè)方面展開(kāi)討論，對(duì)計(jì)算機(jī)取證技術(shù)進(jìn)行了綜述，并提出了一些筆者自己的見(jiàn)解，希望能夠?qū)窈笥?jì)算機(jī)取證技術(shù)的研究提供一些理論建議。

關(guān)鍵詞 計(jì)算機(jī) 取證技術(shù) 數(shù)據(jù)信息可靠性

中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A

1幾種常見(jiàn)的計(jì)算機(jī)取證技術(shù)介紹

在美國(guó)地區(qū)，至少有百分之七十的法律部門(mén)都已經(jīng)設(shè)置了專(zhuān)門(mén)的計(jì)算機(jī)取證實(shí)驗(yàn)室，取證專(zhuān)家在實(shí)驗(yàn)室內(nèi)對(duì)各種從犯罪現(xiàn)場(chǎng)收集的數(shù)據(jù)信息進(jìn)行分析，從中提取中與作案相關(guān)的信息。

由于取證時(shí)刻上具有一定的潛在屬性，因此我們可將計(jì)算機(jī)取證分為兩組不同的模式，分別為靜態(tài)取證模式以及動(dòng)態(tài)取證模式。其中，靜態(tài)取證指的是對(duì)各種潛在證據(jù)進(jìn)行提取，如存儲(chǔ)在各種未運(yùn)行狀態(tài)媒介中的證據(jù)；而動(dòng)態(tài)取證指的是對(duì)各種存儲(chǔ)有網(wǎng)絡(luò)以及運(yùn)行媒介中的證據(jù)進(jìn)行提取。由于網(wǎng)絡(luò)數(shù)據(jù)以及計(jì)算機(jī)系統(tǒng)數(shù)據(jù)在屬性上具有本質(zhì)區(qū)別，因此人們?cè)谌∽C過(guò)程中使用的取證方式往往也會(huì)分為兩種，分別為依托計(jì)算機(jī)系統(tǒng)的取證以及依托網(wǎng)絡(luò)數(shù)據(jù)的取證。

1.1預(yù)備取證技術(shù)

一般情況下，計(jì)算機(jī)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)中存在的數(shù)據(jù)在使用后均會(huì)被刪除，即使是各種潛在數(shù)據(jù)也可能面臨被黑客刪除的風(fēng)險(xiǎn)，所以說(shuō)在事發(fā)后從受害者計(jì)算機(jī)中獲得的數(shù)據(jù)并不一定真實(shí)可靠，這就使得事發(fā)前的預(yù)備取證能力越來(lái)越得到關(guān)注。預(yù)備取證的目標(biāo)在于構(gòu)建一個(gè)科學(xué)可靠的系統(tǒng)，對(duì)于各種可疑數(shù)據(jù)進(jìn)行自動(dòng)搜索、識(shí)別、匯集以及過(guò)濾，同時(shí)對(duì)于各種可靠數(shù)據(jù)進(jìn)行自動(dòng)存儲(chǔ)、保留以及分析。預(yù)備取證系統(tǒng)的建立能夠確保安全事件發(fā)生后的證據(jù)數(shù)量、真實(shí)度、可靠度同時(shí)實(shí)現(xiàn)最大化。

布拉德等學(xué)者針對(duì)企業(yè)構(gòu)建預(yù)備取證技系統(tǒng)的基本原理進(jìn)行了總結(jié)，具體如下：（1）小安全漏洞原理：一個(gè)極小的安全漏洞便可以導(dǎo)致系統(tǒng)的安全防護(hù)完全失效；（2）小用戶世界原理：對(duì)于一些特殊的用戶而言，個(gè)別的設(shè)備以及系統(tǒng)便可滿足他們的使用需求；（3）安全策略行為違反遞減原理：隨著用戶對(duì)于系統(tǒng)知識(shí)的不斷了解以及掌握，各種完全違反行為的發(fā)生頻率也逐漸增加。

通常情況下，安全審計(jì)系統(tǒng)能夠結(jié)合相應(yīng)安全策略，并通過(guò)對(duì)歷史操作事件的處理以及分析來(lái)識(shí)別出系統(tǒng)中可能存在的安全隱患，在此基礎(chǔ)上進(jìn)行相應(yīng)的改善。同時(shí)還能夠?qū)崿F(xiàn)對(duì)個(gè)體用戶行為的實(shí)時(shí)跟蹤，給用戶施加相應(yīng)壓力，要求其對(duì)自己所作出的行為負(fù)責(zé)，對(duì)各種攻擊人員發(fā)出警告，最大程度降低入侵行為的發(fā)生，從而提高系統(tǒng)的安全性。安全審計(jì)系統(tǒng)在部分特性上與預(yù)備取證相似，但是在數(shù)據(jù)存儲(chǔ)安全性以及可靠性、自動(dòng)分析等方面卻缺乏有效的考慮。趙小敏在原有安全審計(jì)系統(tǒng)的基礎(chǔ)上進(jìn)行了優(yōu)化，設(shè)計(jì)了一種能夠支持計(jì)算機(jī)取證的安全審計(jì)系統(tǒng)，能夠保障系統(tǒng)遭到入侵之前的數(shù)據(jù)信息始終處于保護(hù)狀態(tài)下，并能夠一直完整地保留下來(lái)，從而為取證人員提供關(guān)鍵的線索。

1.2計(jì)算機(jī)證據(jù)獲取與分析技術(shù)

在進(jìn)行計(jì)算機(jī)取證時(shí)必須嚴(yán)格遵循下述基本原則：（1）應(yīng)在不損壞原有證物的基礎(chǔ)上進(jìn)行取證；（2）必須通過(guò)有效方式來(lái)證明獲得證據(jù)與原有數(shù)據(jù)之間的吻合性；（3）應(yīng)在確保數(shù)據(jù)不發(fā)生改變的情況下展開(kāi)進(jìn)一步分析與研究。

數(shù)據(jù)獲取與分析技術(shù)的重點(diǎn)在于確保數(shù)據(jù)獲取的同時(shí)原始介質(zhì)不發(fā)生損壞，因此通常情況下不主張對(duì)原始介質(zhì)進(jìn)行取證分析。最常使用的數(shù)據(jù)獲取技術(shù)主要包括以下幾種：確保計(jì)算機(jī)系統(tǒng)以及文件安全性的獲取技術(shù)，預(yù)防原始介質(zhì)遭到損壞；確保數(shù)據(jù)以及軟件安全收集的獲取技術(shù)；對(duì)已刪除文件進(jìn)行重新恢復(fù)的獲取技術(shù)；對(duì)長(zhǎng)期未使用磁盤(pán)文件進(jìn)行挖掘的獲取技術(shù)；針對(duì)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的獲取技術(shù)。

目前所使用的取證技術(shù)基本是依托物理存儲(chǔ)介質(zhì)而實(shí)現(xiàn)的，主要作用在于對(duì)已刪除數(shù)據(jù)的恢復(fù)以及重新顯示等?，F(xiàn)階段大部分取證軟件的功能均體現(xiàn)在磁盤(pán)的處理方面，不支持深入的分析功能，除此之外的其它工作基本都是依靠取證專(zhuān)家的人工操作來(lái)實(shí)現(xiàn)，基本上形成了一種錯(cuò)覺(jué)，即計(jì)算機(jī)取證軟件與磁盤(pán)分析軟件相同的錯(cuò)覺(jué)。

計(jì)算機(jī)證據(jù)分析主要是基于獲取信息的基本含義、特征、關(guān)系等內(nèi)容來(lái)還原事件發(fā)生的真實(shí)場(chǎng)景，從而尋找出各種與案件相關(guān)的信息，這些信息主要包括犯罪的具體行為、犯罪嫌疑人的具體動(dòng)機(jī)以及犯罪嫌疑人的作案手法等等。

其中，在已經(jīng)取得的數(shù)據(jù)流當(dāng)中識(shí)別出各種匹配的關(guān)鍵詞，是現(xiàn)階段數(shù)據(jù)分析中使用頻率最高的一種技術(shù)，它主要由以下幾種技術(shù)構(gòu)成：文件特征分析技術(shù)、文件關(guān)鍵詞分析技術(shù)、日志分析技術(shù)、邏輯關(guān)系挖掘技術(shù)、被保護(hù)信息的訪問(wèn)技術(shù)等。

現(xiàn)階段， 人們對(duì)于各種自動(dòng)分析技術(shù)的探索步伐逐漸加快，如試圖于挖掘問(wèn)題產(chǎn)生的潛在規(guī)則，同時(shí)研究其中存在的程序化步驟，將其編寫(xiě)成為軟件工具。此外，還可以通過(guò)人工智能技術(shù)來(lái)研究部分?jǐn)?shù)據(jù)之間存在的關(guān)聯(lián)性，這一方法能夠幫助破案人員快速將犯罪分子的輪廓進(jìn)行勾勒，使取證專(zhuān)家的取證工作更加高效。

卡西針對(duì)計(jì)算機(jī)證據(jù)的不確定性以及信息缺失等問(wèn)題展開(kāi)了深入的研究，并在此基礎(chǔ)上設(shè)計(jì)了一種按級(jí)度量的方法，這一研究結(jié)果在一定程度上促進(jìn)了取證人員工作的開(kāi)展，同時(shí)也能夠適當(dāng)啟發(fā)其它研究人員的思路。由于計(jì)算機(jī)證據(jù)存在一定的不確定性，因此在取證后還應(yīng)對(duì)證據(jù)實(shí)施進(jìn)一步量化處理，尤其在遇到若干個(gè)關(guān)聯(lián)性極強(qiáng)的證據(jù)時(shí)，這些不確定性更應(yīng)該同量化方式進(jìn)行有效表達(dá)。只有當(dāng)計(jì)算機(jī)證據(jù)的確定性通過(guò)十分精確的方式表達(dá)出啦后，才能有效降低人們對(duì)計(jì)算機(jī)證據(jù)的質(zhì)疑度，從而法官將會(huì)有更高的概率度證據(jù)進(jìn)行采納。

1.3反取證技術(shù)

隨著計(jì)算機(jī)取證技術(shù)的不斷發(fā)展，各種反取證技術(shù)也隨之出現(xiàn)。反取證技術(shù)通常是由數(shù)據(jù)加密技術(shù)、數(shù)據(jù)隱藏技術(shù)以及數(shù)據(jù)刪除技術(shù)構(gòu)成的，對(duì)于一些經(jīng)驗(yàn)豐富的黑客來(lái)說(shuō)，反取證技術(shù)是他們?cè)谧靼高^(guò)程中必須采用的基本手段，可以將自己的作案數(shù)據(jù)進(jìn)行有效銷(xiāo)毀，隱藏自己的入侵痕跡，從而加大取證工作的難度。目前市場(chǎng)中已逐漸出現(xiàn)了各種反取證工具，例如TDT以及RUNEFS等。在面對(duì)不同的反取證技術(shù)時(shí)，我們應(yīng)采用合適的策略進(jìn)行對(duì)應(yīng)。例如，遇到文件加密這一反取證技術(shù)時(shí)，最簡(jiǎn)單直接的方法便是找回密碼，如向指導(dǎo)密碼的人進(jìn)行詢(xún)問(wèn)，或者根據(jù)自己的了解來(lái)猜測(cè)密碼，又或者是在電腦周?chē)鷮ふ腋鞣N與密碼相關(guān)的線索。當(dāng)上述方法都無(wú)效時(shí)，可運(yùn)用強(qiáng)效破解工具來(lái)破解密碼，也可向密碼分析專(zhuān)家發(fā)送請(qǐng)求。在破解的過(guò)程中盡可能猜測(cè)黑客所使用的數(shù)據(jù)隱藏技術(shù)，并選擇合適的措施進(jìn)行對(duì)應(yīng)，譬如對(duì)文件進(jìn)行壓縮或者將文件后綴進(jìn)行更改等。在壓縮過(guò)程中可能導(dǎo)致取證人員搜索磁盤(pán)關(guān)鍵詞失效，這個(gè)時(shí)候我們應(yīng)使用解壓工具進(jìn)行解壓。總而言之，取證技術(shù)與反取證技術(shù)之間的對(duì)抗關(guān)系將會(huì)不斷發(fā)展下去，反取證技術(shù)也會(huì)一直成為計(jì)算機(jī)取證技術(shù)的阻礙因素。

1.4反向工程以及密碼分析技術(shù)

在計(jì)算機(jī)取證工作當(dāng)中，對(duì)侵入主機(jī)中的可疑程序進(jìn)行分析是其中一項(xiàng)非常重要的內(nèi)容，當(dāng)已確定某個(gè)特定的人在某個(gè)特定的主機(jī)設(shè)備中安裝了相應(yīng)程序后，且該程序?qū)τ谥鳈C(jī)安全具有一定的危害性，那么這一程序安裝者就必須承擔(dān)應(yīng)用的責(zé)任。對(duì)可執(zhí)行程序進(jìn)行分析來(lái)確定程序功能的過(guò)程叫做反向工程，這一類(lèi)型的工具軟件數(shù)量非常少，且相應(yīng)的開(kāi)發(fā)設(shè)計(jì)難度也較大，特別是當(dāng)可執(zhí)行程序本身已使用壓縮或者加密技術(shù)時(shí)，要想對(duì)犯罪分子的軟件進(jìn)行分析，就必須向?qū)I(yè)的反向分析工程師尋求幫助。

為了能夠進(jìn)一步確保計(jì)算機(jī)系統(tǒng)的安全性，越來(lái)越多的人們開(kāi)始傾向于使用加密技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)通信，或者是用來(lái)對(duì)各種重要信息進(jìn)行儲(chǔ)存。因?yàn)閷?duì)于犯罪嫌疑人來(lái)說(shuō)，他們同樣可以使用加密技術(shù)來(lái)進(jìn)行反取證。

2計(jì)算機(jī)取證技術(shù)的發(fā)展方向以及未來(lái)展望

計(jì)算機(jī)取證技術(shù)是目前來(lái)說(shuō)較為新穎的一門(mén)學(xué)科，在歷經(jīng)了多年的發(fā)展后，無(wú)論是在理論還是在實(shí)踐方面都獲得了顯著的業(yè)績(jī)，盡管如此，目前的取證技術(shù)在很多方面都存在一定的局限性，無(wú)法完全滿足社會(huì)需求。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)取證在未來(lái)還將面臨著更加嚴(yán)峻的挑戰(zhàn)。筆者認(rèn)為，未來(lái)的計(jì)算機(jī)取證技術(shù)將會(huì)朝著以下幾個(gè)方向發(fā)展。

2.1計(jì)算機(jī)取證技術(shù)的研究需要逐步走向系統(tǒng)化軌道

受到計(jì)算機(jī)證據(jù)特殊性質(zhì)的影響，再加上網(wǎng)絡(luò)攻擊者以及權(quán)力濫用者采用的各種反取證技術(shù)，預(yù)備取證措施的重要地位正在逐步突顯出來(lái)。在未來(lái)的系統(tǒng)研究以及設(shè)計(jì)的過(guò)程中，在最初的安全管理設(shè)施設(shè)計(jì)環(huán)節(jié)當(dāng)中就必須做好計(jì)算機(jī)取證工作的事先部署，將其作為一項(xiàng)重要工作來(lái)對(duì)待，盡可能以最低的開(kāi)發(fā)成本來(lái)獲得最高的證據(jù)數(shù)量以及最優(yōu)的證據(jù)質(zhì)量，使取證工作變得更加便捷、簡(jiǎn)單。

2.2取證工具將會(huì)朝著自動(dòng)化以及集成化方向發(fā)展

計(jì)算機(jī)的存儲(chǔ)能力十分驚人，它的增長(zhǎng)速度已超過(guò)了莫爾定律。在幾年前，個(gè)人計(jì)算機(jī)硬盤(pán)通常是由幾百個(gè)M字節(jié)做成的，發(fā)展至今，個(gè)人計(jì)算機(jī)硬盤(pán)已經(jīng)實(shí)現(xiàn)了幾十個(gè)甚至是上百個(gè)G的字節(jié)，其它大規(guī)模的服務(wù)器系統(tǒng)就更不需要說(shuō)了，在這一環(huán)境中，我們所采用的計(jì)算機(jī)取證技術(shù)也必須迎合其發(fā)展步伐，選擇功能更強(qiáng)大、自動(dòng)化程度更高的取證工具。未來(lái)的取證工具將會(huì)隨著信息處理技術(shù)的更新而不斷更新，同時(shí)對(duì)其進(jìn)行有效利用，如數(shù)據(jù)挖掘技術(shù)以及人工智能技術(shù)等，以此來(lái)充分地應(yīng)對(duì)各種海量數(shù)據(jù)的來(lái)襲。目前來(lái)說(shuō)，在計(jì)算機(jī)取證工作當(dāng)中仍然有很大一部分的工作是依賴(lài)人工完成的，這在很大程度上制約了取證技術(shù)的發(fā)展，使取證速度以及取證可靠性都是無(wú)法得到有效保障。因此，為了能夠使取證人員的工作更為便捷，同時(shí)應(yīng)用范圍更加廣泛，有必要對(duì)產(chǎn)品實(shí)施適度的集成。

2.3計(jì)算機(jī)取證領(lǐng)域持續(xù)擴(kuò)展，取證工具朝著專(zhuān)業(yè)化發(fā)展

犯罪分子不僅僅會(huì)將計(jì)算機(jī)設(shè)備作為犯罪工具，各種手機(jī)、掌上電腦等移動(dòng)設(shè)備也會(huì)成為犯罪分子的作案工具，因此犯罪證據(jù)也會(huì)通過(guò)不同的方式分布在各種不同的設(shè)備當(dāng)中。通常來(lái)說(shuō)，我們認(rèn)為各種支持?jǐn)?shù)據(jù)儲(chǔ)存功能的設(shè)備都終將被納入計(jì)算機(jī)取證工作范疇內(nèi)。要想獲取理想的證據(jù)，就必須針對(duì)每一個(gè)場(chǎng)合來(lái)制定專(zhuān)業(yè)化產(chǎn)品，同時(shí)使用合適的取證工具。此外，計(jì)算機(jī)取證科學(xué)的綜合性非常強(qiáng)，其中所涉及的內(nèi)容很多，包括文件加密技術(shù)、磁盤(pán)分析技術(shù)、數(shù)據(jù)挖掘技術(shù)等。

參考文獻(xiàn)

[1] 錢(qián)勤，張瑊，張坤，伏曉，茅兵. 用于入侵檢測(cè)及取證的冗余數(shù)據(jù)刪減技術(shù)研究[J]. 計(jì)算機(jī)科學(xué)，2014，S2：252-258.

[2] 庫(kù)德來(lái)提·熱西提，亞森·艾則孜，萬(wàn)瓊. 計(jì)算機(jī)取證技術(shù)及局限性[J]. 中國(guó)公共安全（學(xué)術(shù)版），2011，04：122-125.

[3] 施昌林，陳曉紅，楊旭，施少培，徐徹，卞新偉. 視頻化計(jì)算機(jī)取證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 信息安全與通信保密，2009，07：99-101+104.

[4] 陳龍，譚響林，高如岱. 智能取證技術(shù)研究[J]. 重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2009，04：518-522.

[5] 田志宏，姜偉，張宏莉. 一種支持犯罪重現(xiàn)的按需取證技術(shù)[J]. 清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2014，01：20-28.

[6] 秦拯，李建輝，鄒建軍，綦朝暉. 基于模糊理論的實(shí)時(shí)取證模型[J]. 湖南大學(xué)學(xué)報(bào)（自然科學(xué)版），2006，04：115-118.

[7] 趙志巖，王任華，邵翀. 計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)的挑戰(zhàn)[A]. 中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專(zhuān)業(yè)委員會(huì).全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C].中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專(zhuān)業(yè)委員會(huì)：，2010：4.